2001年発見の脆弱性修正に7年間、Microsoftが理由説明当時の技術には限界があった

11月の月例パッチ「MS08-068」で対処した脆弱性は、実は2001年に報告されていた。

» 2008年11月13日 08時18分 公開
[ITmedia]

 米Microsoftが11月11日に公開した月例セキュリティ更新プログラム「MS08-068」は、2001年に報告されながらこれまで対処できずにいた脆弱性を解決したものだった。同社が11月11日のセキュリティ対策センター(MSRC)ブログで明らかにした。

 問題となったのは、2001年に報告された「SMBRelay攻撃」の脆弱性。これはレガシープロトコルであるNTLMの基本動作に影響するものだった。もし脆弱性修正のための変更を加えれば、例えばOutlook 2000クライアントがExchange 2000と通信できなくなるなど、ネットワークベースの多数のアプリケーションに不具合を生じさせることが避けられないと、当時Microsoftでは判断したという。

 通常、これほどの規模の問題に対処しようとすれば、Windowsの新バージョンレベルの変更が必要になるが、Microsoftは大きな影響を与えることなく問題を解決できる方法がないか研究を続けた。Windows XP SP2やWindows Vistaで一部解決策を盛り込んだ後、昨年になって、ネットワークアプリケーションに与える影響を最低限に抑えながら、SMBRelay攻撃問題を解決できる方法があることを発見した。

 多大な時間をかけてこの方法の検証を行った後、セキュリティアップデートを開発した。それが11日に公開した「MS08-068」のアップデートで、これによって7年ぶりに、SMBRelay問題の修正に至ったという。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ